聊聊 asp.net core 認證和授權
使用asp.net core 開發應用系統過程中,基本上都會涉及到使用者身份的認證,及授權存取控制,因此瞭解認證和授權流程也相當重要,下面通過分析asp.net core 框架中的認證和授權的原始碼來分析認證、授權的原理及認證和授權的關係。
認證是什麼?
認證是應用系統識別當前存取者的身份的一個過程,當應用系統接收到瀏覽器的請求後,通常會根據請求中攜帶的一些使用者的的關鍵資訊來識別當前登入使用者的身份,通過解析這些資訊,對使用者進行合法性校驗並進行解密,如果校驗通過,則表示認證通過,應用系統會將認證通過後的使用者資訊儲存到Http請求上下文中,以便後續業務使用及授權流程中使用。
asp.net core中通常將認證資訊加密後儲存到cookie中,每次存取需要認證的頁面時將這些cookie資訊傳送到應用系統,以便應用系統識別存取者的身份,也就是經典的Cookie認證。
需要注意的是:認證僅僅只是識別當前存取使用者的身份,並不負責具體的存取許可權控制邏輯,如不具備某個資源的存取許可權返回403,未登入返回401等,這些均由授權流程來控制。
asp.net core 中負責認證流程的中介軟體是AuthenticationMiddleware 類,以下是asp.net core 3.1 的原始碼,可以看到,先遍歷所有實現了IAuthenticationRequestHandler介面的認證方案,並呼叫IAuthenticationRequestHandler介面的HandleRequestAsync方法,如果認證通過,則不再繼續往下執行,並且此時HttpContext.User已經包含認證後的使用者資訊,如果所有實現 IAuthenticationRequestHandler 介面的認證方案,都未能對當前存取使用者進行身份認證,則使用預設的認證方案進行認證(也就是:GetDefaultAuthenticateSchemeAsync返回的認證方案),可以看到認證流程即使沒能識別當前存取者的使用者身份,也會繼續執行下一個流程,(尾部:await _next(context);)
public class AuthenticationMiddleware
{
private readonly RequestDelegate _next;
public IAuthenticationSchemeProvider Schemes
{
get;
set;
}
public AuthenticationMiddleware(RequestDelegate next, IAuthenticationSchemeProvider schemes)
{
if (next == null)
{
throw new ArgumentNullException("next");
}
if (schemes == null)
{
throw new ArgumentNullException("schemes");
}
_next = next;
Schemes = schemes;
}
public async Task Invoke(HttpContext context)
{
context.Features.Set((IAuthenticationFeature)new AuthenticationFeature
{
OriginalPath = context.Request.Path,
OriginalPathBase = context.Request.PathBase
});
IAuthenticationHandlerProvider handlers = context.RequestServices.GetRequiredService<IAuthenticationHandlerProvider>();
foreach (AuthenticationScheme item in await Schemes.GetRequestHandlerSchemesAsync())
{
IAuthenticationRequestHandler authenticationRequestHandler = (await handlers.GetHandlerAsync(context, item.Name)) as IAuthenticationRequestHandler;
bool flag = authenticationRequestHandler != null;
if (flag)
{
flag = await authenticationRequestHandler.HandleRequestAsync();
}
if (flag)
{
return;
}
}
AuthenticationScheme authenticationScheme = await Schemes.GetDefaultAuthenticateSchemeAsync();
if (authenticationScheme != null)
{
//內部呼叫IAuthenticationService進行認證。
AuthenticateResult authenticateResult = await context.AuthenticateAsync(authenticationScheme.Name);
if (authenticateResult?.Principal != null)
{
context.User = authenticateResult.Principal;
}
}
await _next(context);
}
}授權是什麼?
授權是確定當前存取使用者是否具備存取某個系統資源許可權的過程,對於需要授權才能存取的系統資源,通常通過[Authorize]特性來標識,通過該特性,可以指定該資源需要哪個使用者角色才能存取、必須符合哪個授權策略才能存取,以及存取該資源時採用的使用者認證方案是什麼,當用戶存取系統的某個API或者頁面時,授權流程會檢查當前使用者是否具備該API或者頁面的存取許可權,如果授權檢查失敗,那麼會判斷當前使用者是否已經認證通過,如果認證通過,但無存取該資源的許可權,那麼返回403(禁止存取),如果未認證,那麼直接返回401(未認證),表示需要使用者登入認證後在進行存取,需要注意的是:檢查是否具備存取許可權之前會先進行使用者身份的認證,至於用什麼認證方案就看AuthorizeAttribute有沒有指定特定的認證方案,如果沒有,則直接採用認證流程的認證成功的身份資訊。
asp.net core 中,授權流程的執行是通過AuthorizationMiddleware類來完成的,以下是asp.net core 3.1中的原始碼。
// Microsoft.AspNetCore.Authorization.AuthorizationMiddleware
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Authorization.Policy;
using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.DependencyInjection;
public class AuthorizationMiddleware
{
private const string AuthorizationMiddlewareInvokedWithEndpointKey = "__AuthorizationMiddlewareWithEndpointInvoked";
private static readonly object AuthorizationMiddlewareWithEndpointInvokedValue = new object();
private readonly RequestDelegate _next;
private readonly IAuthorizationPolicyProvider _policyProvider;
public AuthorizationMiddleware(RequestDelegate next, IAuthorizationPolicyProvider policyProvider)
{
_next = next ?? throw new ArgumentNullException("next");
_policyProvider = policyProvider ?? throw new ArgumentNullException("policyProvider");
}
public async Task Invoke(HttpContext context)
{
if (context == null)
{
throw new ArgumentNullException("context");
}
Endpoint endpoint = context.GetEndpoint();
if (endpoint != null)
{
context.Items["__AuthorizationMiddlewareWithEndpointInvoked"] = AuthorizationMiddlewareWithEndpointInvokedValue;
}
//獲取存取當前資源所需要的所有角色許可權,及授權策略,以及存取該資源時需要使用的認證方案列表,並統一合併到一個AuthorizationPolicy物件中。
IReadOnlyList<IAuthorizeData> authorizeData = endpoint?.Metadata.GetOrderedMetadata<IAuthorizeData>() ?? Array.Empty<IAuthorizeData>();
AuthorizationPolicy policy = await AuthorizationPolicy.CombineAsync(_policyProvider, authorizeData);
if (policy == null)
{
await _next(context);
return;
}
IPolicyEvaluator policyEvaluator = context.RequestServices.GetRequiredService<IPolicyEvaluator>();
//通過IPolicyEvaluator.AuthenticateAsync()方法,對當前存取者進行認證,至於使用哪種方案認證,根據該資源要求使用的認證方案來,如果沒有指定,
//則使用預設認證方案進行認證。
AuthenticateResult authenticationResult = await policyEvaluator.AuthenticateAsync(policy, context);
//如果包含實現了IAllowAnonymous介面的特性,則不進行授權檢查。
if (endpoint?.Metadata.GetMetadata<IAllowAnonymous>() != null)
{
await _next(context);
return;
}
//這裡呼叫AuthorizeAsync進行授權檢查,注意,這裡將上一步認證結果authenticationResult也傳到了授權檢查方法內部。
PolicyAuthorizationResult policyAuthorizationResult = await policyEvaluator.AuthorizeAsync(policy, authenticationResult, context, endpoint);
//檢查授權結果,如果是未登入,則返回401未認證,讓使用者進行登入,如果該資源指定了特定的認證方案,則呼叫特定認證方案的Challenge方法,
//否則呼叫預設認證方案的Challenge方法,通常Challenge做的事情就是重定向使用者的瀏覽器到登入頁面或者對於ajax非同步請求返回401.
if (policyAuthorizationResult.Challenged)
{
if (policy.AuthenticationSchemes.Any())
{
foreach (string authenticationScheme in policy.AuthenticationSchemes)
{
await context.ChallengeAsync(authenticationScheme);
}
}
else
{
await context.ChallengeAsync();
}
}
//如果當前存取者使用者身份認證通過,但是不被允許存取該資源的許可權,那麼預設返回401(禁止存取)給瀏覽器端,通常對於未授權的存取請求,應用常常的做法是將使用者的瀏覽器重定向到禁止存取的提示頁面,或者對於ajax非同步請求來說,通常返回403狀態碼,和上面未認證情況一樣,如果該資源指定了特定的認證方案,那麼會呼叫特定認證方案的Forbid方法,否則呼叫預設認證方案的Forbid方法。
else if (policyAuthorizationResult.Forbidden)
{
if (policy.AuthenticationSchemes.Any())
{
foreach (string authenticationScheme2 in policy.AuthenticationSchemes)
{
await context.ForbidAsync(authenticationScheme2);
}
}
else
{
await context.ForbidAsync();
}
}
else
{
await _next(context);
}
}
}IPolicyEvaluator介面實現類 PolicyEvaluator類程式碼如下,該類主要是負責授權流程中的認證和授權。
// Microsoft.AspNetCore.Authorization.Policy.PolicyEvaluator
using System;
using System.Security.Claims;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Authorization.Policy;
using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.Internal;
public class PolicyEvaluator : IPolicyEvaluator
{
private readonly IAuthorizationService _authorization;
public PolicyEvaluator(IAuthorizationService authorization)
{
_authorization = authorization;
}
public virtual async Task<AuthenticateResult> AuthenticateAsync(AuthorizationPolicy policy, HttpContext context)
{
//這裡去判斷當前資源是否有要求特定的認證方案進行認證,如果有指定特定的認證方案,則分別對每個認證方案進行認證,並把認證後的使用者資訊進行合併
//最終儲存到HttpContext.User屬性中,並返回認證成功,如果沒有指定認證方案,則使用認證流程中已經認證的使用者資訊作為認證結果返回,
//從這裡可以看出,認證流程還是很有必要的,在資源沒有指定認證方案的前提下,認證流程為授權流程提供當前存取者的身份資訊,以便執行是否具備相應資源的存取許可權檢查,否則就直接進入Challenge流程將要求使用者先進行身份認證了
if (policy.AuthenticationSchemes != null && policy.AuthenticationSchemes.Count > 0)
{
ClaimsPrincipal newPrincipal = null;
foreach (string authenticationScheme in policy.AuthenticationSchemes)
{
AuthenticateResult authenticateResult = await context.AuthenticateAsync(authenticationScheme);
if (authenticateResult != null && authenticateResult.Succeeded)
{
newPrincipal = SecurityHelper.MergeUserPrincipal(newPrincipal, authenticateResult.Principal);
}
}
if (newPrincipal != null)
{
context.User = newPrincipal;
return AuthenticateResult.Success(new AuthenticationTicket(newPrincipal, string.Join(";", policy.AuthenticationSchemes)));
}
context.User = new ClaimsPrincipal(new ClaimsIdentity());
return AuthenticateResult.NoResult();
}
return (context.User?.Identity?.IsAuthenticated).GetValueOrDefault() ? AuthenticateResult.Success(new AuthenticationTicket(context.User, "context.User")) : AuthenticateResult.NoResult();
}
//resource為EndPoint物件。
public virtual async Task<PolicyAuthorizationResult> AuthorizeAsync(AuthorizationPolicy policy, AuthenticateResult authenticationResult, HttpContext context, object resource)
{
if (policy == null)
{
throw new ArgumentNullException("policy");
}
//這裡呼叫IAuthorizationService.AuthorizeAsync方法進行授權檢查,預設實現類為:DefaultAuthorizationService。
if ((await _authorization.AuthorizeAsync(context.User, resource, policy)).Succeeded)
{
return PolicyAuthorizationResult.Success();
}
//下面這句表示如果授權檢查失敗的情況下是進入Forbid流程還是進入Challenge流程,可以看到如果認證成功,那麼表示無許可權存取進入Forbid流程。
//如果未認證,則進入Challenge流程,引導使用者登入認證。
return authenticationResult.Succeeded ? PolicyAuthorizationResult.Forbid() : PolicyAuthorizationResult.Challenge();
}
}認證和授權的關係?
授權檢查之前都會先執行使用者身份的認證,不過這裡的認證流程只有在被存取的資源有指定特定的認證方案時才會執行,否則直接採用統一認證流程中的產生的認證資訊。
可以理解為認證流程一方面是為了告訴應用系統當前存取者的身份,一方面是為了給授權檢查時識別使用者的身份資訊,當資源沒有指定採用何種認證方案時,授權流程將會採用統一認證流程裡認證通過產生的使用者資訊,如果不啟用認證流程,並且被存取的資源也沒有指定特定的認證方案對存取者身份進行認證時,那麼最終存取該資源時還是會被要求先登入認證,因此認證流程的另外一個用途就是為授權流程提供預設的使用者認證資訊。
總結起來說,
認證流程主要有如下幾個作用:
- 識別系統存取者的身份資訊,認證通過後提供給後續業務使用。
- 給授權流程提供存取者身份資訊(資源沒有指定特定認證方案時,採用預設認證方案認證通過的使用者資訊)。
- 實現授權失敗後的處理邏輯,比如授權檢查失敗後返回的 401(未認證),403(禁止存取)等最終都是認證方案的 ChallegeAsync方法以及ForbidAsync方法來處理,這些方法是IAuthenticationHandler裡面定義的,這些流程在授權失敗為401/403的時候分別被授權流程呼叫。
授權流程主要如下幾個作用:
- 授權流程主要是檢查當前使用者是否具備指定資源的存取許可權,如果授權檢查失敗,如401(未認證),403(禁止存取),那麼最終會分別呼叫認證方案的ChallegenAsync和ForbidAsync方法,也就是說,授權流程側重於授權失敗後的流程控制。
- 授權流程另外一個主要的任務是檢查授權策略是否均能檢驗通過,如果一個資源通過AuthorizeAttribute的Policy屬性指定了一個或者多個授權策略,那麼必須所有授權策略都驗證通過才算授權成功,如果未指定授權策略,那麼就驗證預設的授權策略是否能檢驗通過,預設的授權策略則是要求必須使用者認證通過才允許存取資源。
授權流程本質上就是遍歷所有注入到容器中的IAuthorizationHandler(微軟預設在AddAuthorization的時候向容器注入了:PassThroughAuthorizationHandler,這個授權處理程式遍歷AuthorizationHandlerContext.Requirements中所有實現了IAuthorizationHandler的Requirement類,並呼叫其HandleAsync方法來檢查當前Requirement是否能校驗通過),並對存取指定資源所要滿足的所有策略中包含的Requirement進行驗證,如果所有策略包含的Requirement都驗證通過,那麼表示授權成功,這裡的Requirement是指實現了IAuthorizationRequirement的類,這個介面是一個空介面,用於標記Requirement使用。